Bluebox Labs, une entreprise spécialisée en sécurité, a identifié et révélé hier une faille touchant les appareils (smartphones et tablettes) tournant sous Android depuis la version 2.1. Baptisée Fake ID, elle a été immédiatement signalée à Google et largement commentée par Bluebox sur son blog.
Fake ID est une faille qui permet, si elle est exploitée, l'accès aux données sensibles des utilisateurs d'Android. Rien n'est épargné, juge Bluebox, pas même les données relatives au moyen de paiement. Particulièrement inquiétant, d'autant que l'utilisateur n'a même pas besoin d'accorder la moindre permission à un éventuel malware pour que l'exploit soit possible.
La faille déjà comblée
La faille permet à un logiciel malveillant de se comporter comme s'il était un programme approuvé et avec un accès étendu. Pour Bluebox, "Fake ID peut être utilisé par un malware pour s'affranchir de la sandbox normale pour les applications et réaliser une ou plusieurs actions : insérer un cheval de troie dans une application en se faisant passer pour Adobe Systems, accéder aux données de paiement NFC en usurpant l'identité de Google Wallet, ou prendre le contrôle complet de l'appareil en se faisant passer pour 3LM."
La faille existe dans toutes les versions d'Android depuis la 2.1. Cela dit, Bluebox a pris soin de prévenir Google en amont de son billet de blog, pour éviter d'attirer les pirates sur cette faille. Google a donc d'ores et déjà corrigé et publié un patch pour tous ses systèmes Android.
Le correctif a été poussé sur AOSP et vers les OEM partenaires. Google précise par ailleurs qu'il a mis à jour son outil de vérification des applications installées et n'a pas rencontré de malware exploitant la faille. En clair, les utilisateurs courent un risque relativement maîtrisé s'ils suivent les habituelles recommandations de sécurité :
éviter les visites sur des sites suspects et dans tous les cas, ne rien télécharger à partir de ceux-ci ;
se contenter des app stores connus et reconnus ;
vérifier systématiquement les permissions accordées à un programme ;
mettre à jour son appareil à chaque fois que possible ;
éventuellement, utiliser un logiciel antivirus.
